一、網(wǎng)閘技術概述
網(wǎng)閘是在兩個不同安全域之間,通過協(xié)議轉換的手段,以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換,且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應用服務。隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接,能夠在物理隔離的網(wǎng)絡之間進行適度的安全數(shù)據(jù)交換的網(wǎng)絡安全設備。網(wǎng)閘的基本原理是:切斷網(wǎng)絡之間的通用協(xié)議連接;將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù);對靜態(tài)數(shù)據(jù)進行安全審查,包括網(wǎng)絡協(xié)議檢查和代碼掃描等;確認后的安全數(shù)據(jù)流入內(nèi)部單元;內(nèi)部用戶通過嚴格的身份認證機制獲取所需數(shù)據(jù)。 二、網(wǎng)閘的作用
當用戶的網(wǎng)絡需要保證高強度的安全,同時又與其它不信任網(wǎng)絡進行信息交換的情況下,如果采用物理隔離卡,信息交換的需求將無法滿足;如果采用防火墻,則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入,安全性無法保證。在這種情況下,隔離網(wǎng)閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火墻的不足之處,是物理隔離網(wǎng)絡之間數(shù)據(jù)交換的最佳選擇。 三、網(wǎng)閘與防火墻的區(qū)別 隔離網(wǎng)閘采用雙主機系統(tǒng),內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡連接,外端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護起來,即使外網(wǎng)被黑客攻擊,甚至癱瘓,也無法對內(nèi)網(wǎng)造成傷害。 1.防火墻是單主機系統(tǒng)。
2.隔離網(wǎng)閘采用自身定義的私有通訊協(xié)議,避免了通用協(xié)議存在的漏洞。防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議。
3.隔離網(wǎng)閘采用專用硬件控制技術保證內(nèi)外網(wǎng)之間沒有實時連接。而防火墻必須保證實時連接。
4.隔離網(wǎng)閘對外網(wǎng)的任何響應都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請求應答,即被動響應,而防火墻則不會對外網(wǎng)響應進行判斷,也即主動響應。這樣,網(wǎng)閘就避免了木馬和黑客的攻擊。
四、網(wǎng)閘產(chǎn)品的選擇
客戶自身的技術需求:千兆還百兆,單向還是雙向等? 產(chǎn)品的穩(wěn)定性; 產(chǎn)品的管理配置是否便捷; 產(chǎn)品的售后服務能力; 相關產(chǎn)品的資質要求; 五、主流的網(wǎng)閘廠商
聯(lián)想網(wǎng)御、天融信、網(wǎng)神、中網(wǎng)、蓋特佳 |
|